Le système de géolocalisation Tracki, pourtant vendu comme un outil de sécurité, a laissé fuiter les données de 12 millions de ses utilisateurs à cause d'une faille dans le système.
Qui aurait cru qu'un simple boîtier GPS, censé apporter plus de sécurité, puisse en réalité mettre en danger les informations les plus sensibles de ses utilisateurs ? C'est pourtant l'histoire récente de Tracki, une entreprise spécialisée dans le suivi GPS.
Après des mois d'enquête, la chercheuse Maia Arson Crimew a réussi à percer les mystères de cette société et à révéler une faille béante dans la protection des données personnelles de ses 12 millions de clients.
Qui utilise Tracki et pourquoi c'est inquiétant ?
Tracki se qualifie de leader mondial du suivi GPS. Il commercialise et vend des boîtiers destinés à localiser et suivre en temps réel des biens, des véhicules ou des personnes. Que ce soit pour la sécurité d'un enfant, le suivi d'un véhicule de fonction ou la surveillance d'un proche, Tracki promet de répondre à tous les besoins de géolocalisation. Mais l'enquête a révélé que ces appareils sont également utilisés par de nombreuses agences gouvernementales et programmes militaires, aux États-Unis comme ailleurs, pour suivre leurs actifs, leur personnel et leurs véhicules.
Comme l'indique le site Malwarebytes, par ailleurs membre de la Coalition Against Stalkerware, Tracki s'est rapidement imposé comme l'outil favori des harceleurs et autres individus malveillants souhaitant traquer leurs victimes. Les forces de l'ordre du monde entier reçoivent ainsi régulièrement des assignations à comparaître liées à l'utilisation abusive de ces boîtiers, notamment dans des affaires de violences conjugales, de tentatives de meurtre et même de meurtres avérés. Comme le souligne l'enquête, en décidant d'utiliser un logiciel espion, vous n'êtes pas le seul à pouvoir traquer la cible. Ces entreprises n'investissent pas toujours suffisamment dans la sécurité de leurs données.
Comment la fuite a-t-elle été découverte ?
C'est en fouillant dans les entrailles du système de Tracki que la chercheuse Maia Arson Crimew a découvert cette gigantesque faille de sécurité. En analysant en détail le code source et les différents outils internes de l'entreprise, elle a trouvé que de nombreuses informations d'identification, mots de passe et autres données sensibles des utilisateurs étaient stockées en clair et accessibles à de nombreux employés sans authentification poussée, soit un mot de passe partagé par tous les techniciens.
Mais ce qu'elle définit comme le pire dans cette histoire, c'est qu'un outil de dépannage permettait même de consulter pratiquement toutes les données de n'importe quel appareil Tracki en saisissant simplement son numéro d'identification.
En fin de compte, ce sont les données personnelles de près de 12 millions d'utilisateurs qui auraient ainsi été exposées, avec tout ce que l'on déduit de risques comme l'usurpation d'identité, le harcèlement, le cyberharcèlement, les tentatives de phishing ou de ransomware que cette fuite représente. Et Maia de se demander ce qu'il adviendrait si les informations divulguées émanant des clients comme les agences gouvernementales tombaient dans de mauvaises mains.
Tracki est disponible pour les utilisateurs français, si vous en êtes un de ses clients, Clubic vous recommande de vous rapprocher du service client de l'entreprise et, en attendant, de sécuriser vos données sensibles, en modifiant tous vos mots de passe, vérifiant les mouvements de vos comptes bancaires ou encore, de renforcer la sécurité de vos appareils et outils, avec un antivirus et la mise en place de l'authentification à double-facteur.
Source : Malwarebytes, Maia's blog
